控制DHCP伺服器的過程 網路安全得到保障的開始

試想一下，一台被感染了網路病毒的普通電腦連接到網路後，對應系統中的網路病毒很有可能會通過網路傳染給局域網中的其他電腦。 這樣相互傳播、感染，整個網路勢必就會受到網路病毒的嚴重攻擊，此時網路的安全性自然也就受到破壞了。 為了保證網路安全，必須對網路的接入進行適當控制，確保那些可以信任的普通電腦才能接入本地網路並訪問互聯網。 那麼，究竟哪些普通電腦是可以信任的呢？ 在這裡，我們可以強制普通電腦自動從DHCP伺服器那裡獲得IP位址，在申請IP位址的過程中，要求DHCP伺服器對普通電腦的合法性進行認證。 如果電腦能夠順利通過認證，那麼DHCP伺服器才能將上網參數位址，包括IP位址、閘道、DNS伺服器等，分配給這台電腦，這樣一來可以信任的普通電腦系統就能正常接入到網路了。 如果電腦沒有通過DHCP伺服器的驗證，那麼對應系統就無法從DHCP伺服器那裡獲得有效的上網參數，此時這些不值得信任的普通電腦也就不能連接到本地網路。 這樣一來，本地網路的安全性就能得到保證了。 在進行用戶端系統的合法性認證時，可以先在DHCP伺服器中創建合法性規則，同時為該規則配置相應的上網參數，包括IP位址、閘道、DNS伺服器等，之後為用戶端系統設計合法性標記。 這樣，以後普通電腦向DHCP伺服器申請上網參數時，DHCP伺服器中的合法性規則就會對用戶端系統的合法性標記進行檢查驗證：如果發現用戶端系統沒有合法性標記或標記不能通過合法性規則驗證時，就不會為它分配有效的上網參數; 如果用戶端系統通過合法性規則驗證，對應規則下面的上網參數就能自動分配給目標用戶端系統了，這個時候普通電腦就能正常地接入到本地網路中。 創建合法性規則為了對用戶端系統的上網安全性進行控制，可以在DHCP伺服器中創建合法性規則，來對普通電腦的合法性進行認證。 可以在DHCP伺服器中創建一個新的DHCP使用者類別，並要求對用戶端系統的使用者類別進行驗證，驗證通過之後才能對用戶端系統的上網請求做出回應。 在創建新的DHCP使用者類別時，首先打開DHCP伺服器主機系統的「開始」功能表，從中依次選擇「程式」→「管理工具」→「DHCP」命令，進入DHCP伺服器主控台介面，選中該介面左側清單中的目標主機圖示，同時右擊該主機圖示， 並選擇右鍵功能表中的「定義使用者類別」命令或「定義供應商類別」命令，彈出新建使用者類別嚮導視窗，如圖1所示。 在該嚮導視窗的「顯示名稱」位置處，輸入一個DHCP使用者類別名稱，例如，將該使用者類別名稱輸入為「hefa」。 為了方便日後管理，還可以對該使用者類別的作用進行一些描述，例如，在「描述」位置處輸入「控制網路接入安全」之類的描述性資訊。 當然，如果DHCP使用者類別名稱比較少，可以不設置描述資訊。 接下來，還要在ID位置處設置合法電腦的匹配類ID，例如，當我們在ASCII字元位置處輸入「hefa」資訊時，對應ID位置處的二進位數值就是合法電腦的匹配類ID。 日後DHCP伺服器會通過這個匹配類ID來驗證普通電腦的合法性。 在確認上面的設置正確無誤後，按一下「確定」按鈕，保存好上述設置操作。 配置合法上網參數如果DHCP伺服器發現普通電腦系統的匹配類ID符合要求時，就認為該用戶端系統是合法的。 此時就應該為目標用戶端系統分配合法、有效的上網參數，確保該電腦可以順利地接入到本地網路中。 為此，在我們創建好「hefa」使用者類別名稱時，還應該為該使用者類別配置合法的上網參數，確保那些通過使用者類別驗證的普通電腦可以從DHCP伺服器那裡申請到有效的上網參數。 下面就是具體的配置步驟：首先，切換進入DHCP伺服器的控制介面，展開該介面左側子窗格中的目標主機選項，右擊「作用域選項」，選擇右鍵功能表中的「配置選項」命令，繼續選擇彈出界面中的「高級」選項卡，打開高級選項設置頁面， 如圖2所示。 在這裡可以為合法電腦分配IP位址、預設閘道、DNS伺服器等上網參數，同時可以設置IP位址的租約期限等參數。 例如，要為「hefa」使用者類別配置上網參數時，可以先按一下「使用者類別」位置處的下拉按鈕，並從下拉清單中將先前創建好的「hefa」使用者類別選中，之後從可用選項清單中選中「003路由器」， 並在對應選項下面的設置區域輸入合適的預設閘道位址，然後按一下「添加」按鈕，即可完成預設閘道的分配操作。 之後選中「006DNS伺服器」選項，在對應該選項下面的設置區域，輸入本地網路上網訪問時用到的ISP提供的DNS伺服器位址，再按一下「添加」按鈕，完成DNS伺服器的分配操作。 同樣地，還可以選中「051租約」選項，來設置動態IP位址的有效租約期限。 如果想為普通電腦修改動態IP位址，必須展開目標作用域下面的「位址集區」選項，並在對應選項的設置頁面中修改上網IP位址，修改完畢後按一下「確定」按鈕保存好設置操作。 設置合法性標記為了保證那些值得信任的普通電腦系統可以順利地通過DHCP伺服器的合法性驗證，應該事先為那些安全的用戶端系統設置合法性標記，確保該系統的DHCP類ID名稱符合合法性驗證要求。 在為普通電腦設置合法性標記時，可以依次選擇「開始」→「運行」命令，打開用戶端系統的運行文字方塊，在其中執行「CMD」字串命令，進入對應系統的MS-DOS工作視窗。 接下來，在MS-DOS工作視窗的命令列提示符下，執行「ipconfig/setclassidLocalConnectionhefa」字串命令，這樣就可以成功地將用戶端系統本地連接的DHCP類ID名稱設置為「hefa」 標記了。 控制網路接入安全為了讓普通電腦接受DHCP伺服器的合法性控制，必須強制要求用戶端系統在上網訪問時，主動連接DHCP伺服器。 這樣一來，DHCP伺服器就能自動對上網電腦的合法性進行驗證了。 要做到這一點，其實很簡單，我們可以設置普通用戶端系統的上網參數，讓其自動獲得IP位址。 在設置自動獲得IP操作時，先打開用戶端系統的「開始」功能表，從中逐一選擇「設置」→「網路連接」選項，用滑鼠右鍵按一下網路連接清單介面中的本地連接圖示，再執行右鍵功能表中的「屬性」命令，彈出本地連接屬性設置對話方塊。 選擇該對話方塊中的「常規」選項卡，選擇該選項設置頁面中的TCP/IP協定選項，同時按一下「屬性」按鈕，打開對應的選項設置對話方塊，選中這裡的「自動獲得IP位址」、「自動獲得DNS伺服器位址」等選項，再按一下「確定」按鈕， 執行設置保存操作。 以後，當包含有「hefa」標記的普通電腦嘗試連接DHCP伺服器時，DHCP伺服器的合法性規則就會認為該電腦是可以信任的，就會將對應規則下面的上網參數分配給該電腦了。 有了上網參數，該電腦系統就能正常接入到本地局域網中了;而那些不安全的普通電腦則因為無法得到上網參數而不能進行網路連接，網路安全因此得到一定的保障。